Государство в смартфоне превращается в рай для хаккеров
В Telegram появился бот UA Baza, который выдает персональные данные и документы украинцев, государство настаивает, что оно тут не причем.
В Украине очередной массовый слив персональных данных граждан. Правда, в этот раз, похоже, наиболее масштабный. Судите сами, в открытый доступ попали 26 миллионов только водительских удостоверений. А еще и паспорта, и пароли от аккаунтов в социальных сетях и почт.
Претензии сразу же появились к Министерству цифровой трансформации и их приложению Дия, которое подтягивает электронную версию документов из государственных реестров. Но в Минцифре уверяют, что они тут не при чем.
Корреспондент.net разбирался в масштабах слива.
Как это работает
Бот UA Baza содержит данные госреестров, а также базы новой почты и пароли из соцсетей Вконтакте и linkedin.
Например, Head Chef общественной организации Электронная демократия Владимир Фльонц, с помощью бота нашел сразу несколько своих документов.
“Мне показали не только паспортные данные, мои старые пароли, данные с биометрических паспортов (в частности, фото) и вишенка на торте – водительское удостоверение, о котором я даже не догадывался. Даже в Дии его не показывает, а у ребят в базе – есть. Вот так уже сейчас выглядит их цифровое будущее”, – написал Фльонц.
Более того, например, журналисту Сергею Сидоренко бот показал водительские права, которые он потерял еще в 1999 году, и с тех пор не восстанавливал.
“По моей почте подтягиваются же старые права, с номером, реквизитами, о которых Дии неизвестно. То есть данные не просто взяты из какой-то правительственной базы, о которой Дия пока не в курсах – но и синхронизированы с другими личными данными. В 1995 году у меня этой почте не было, клянусь. Умеют же когда хотят, Минцифры отдыхают на этом фоне”, – удивляется Сидоренко.
Причем тут Дия
Приложение для смартфона Дия содержит электронные копии документов – паспортов, прав, техпаспорта на авто. В Украине они являются легальными заменителями бумажных документов.
Нардеп Александр Дубинский обвинил Дию в сливе персональных данных. Но позже удалил эту информацию.
“Только что беседовал с министром цифровой трансформации Михаилом Фёдоровым, который в течение дня обещает предоставить информацию о том, кто и как сливает данные из госреестров. До момента получения этой информации посты о Дия удалены. Если информация Михаила окажется не релевантной, либо не докажет обратного – вернёмся к теме”, – объяснил удаление Дубинский.
В Министерстве цифровой трансформации любую причастность сервиса Дия к утечке данных отрицают. Там объясняют, что Дия не имеет собственной базы данных, а лишь отражает информацию из реестров.
Да и объемы информации, доступной в боте, в десятки, а то и сотни раз, превышает ту, с которой работает Дия. Там отмечают, что анализ бота свидетельствует об использовании старых баз данных ПриватБанка.
“Злоупотребление использованием персональных данных граждан недопустимо! Служба безопасности Украины уже проводит следственные действия в отношении злоумышленников, распространяющих такую информацию в интернете”, – заявили в министерстве.
В Минцифры предостерегают: пытаясь найти информацию о себе в различных нелегальных ботах, вы сами предоставляете злоумышленникам персональные данные.
К чему это приведет
Артем Коханевич, СЕО GigaCloud считает обвинения сервиса Дия в утечке персональных данных украинцев беспочвенными.
Приложение не хранит данные в своей собственной базе, а берет их из целого ряда реестров. Принцип его работы можно сравнить, например, с популярными маркетплейсами, которые выступают посредником и “связывают” между собой покупателей и продавцов. Смешной факт – люди, которые не могли добиться в Дие отображения своей фотографии на правах, увидели ее в телеграм-боте. Т.е. базы были получены откуда угодно, но не из Дии”, – констатирует Коханевич.
По его мнению, атака управляемая и направлена против продолжения развития проекта.
“Если Федорову с командой удастся реализовать хотя бы половину из заявленного, пострадает очень много серых и коррупционных схем. Украина сейчас пасет задних в цифровизации государственных процессов, и это не потому, что “все нормальные давно уехали” – цифровизация значительно уменьшает возможность для манипуляций, и заказчики управляемого бардака будут этому активно сопротивляться”, – полагает менеджер.
Вместе с тем Коханевич отмечает, что сервис Дия разрабатывается “какими-то людьми за чьи-то деньги”.
“Дия физически размещена в одном дата-центре у одного из коммерческих операторов, выбор которого был совершенно непрозрачным, что можно сказать и про команду разработки. Во главу угла поставлена скорость запуска новых сервисов. Вопросы отказоустойчивости и резервирования, защиты от внешних вторжений, DDoS, защиты персональных данных – это то, что за гонкой функционала всегда остается на втором плане. Атаку через анонимный телеграм-бот, Дия переживет без проблем. Но не за горами инциденты, вызванные неправильной архитектурой – и вот там что-то ответить обществу будет уже сложнее”, – прогнозирует специалист.
Источник: www.korrespondent.net
